von Tanja Moung
Computer-Viren können in RFID-Funketiketten eindringen. Das ist das Ergebnis einer Untersuchung von Wissenschaftlern der Vrije Universität Amsterdam. Um zu beweisen, dass die Tags nicht immun sind, haben die Forscher ein Virus entwickelt, dass sich selbst reproduziert und sich über RFID-Lesegeräte verbreiten kann.
Weil die Tags nur über eine äußerst geringe Speicherkapazität von 128 Zeichen verfügen, war es bislang ausgeschlossen wurden, dass RFID-Chips von Schadprogrammen attackiert werden können. Die niederländische Forschergruppe hat nun gezeigt, dass ein solcher Angriff durchaus möglich ist. Dabei könnten vor allem Schadprogramme aus der Computer-Welt, die einzelne Server durch eine Flut von Anfragen in die Knie zwingen (Buffer overflow), die Tags gefährden.
Laut der Untersuchung gibt es einige offenkundige Probleme bei der Radiofrequenz-Identifikation. Die Installationen besitzen eine Vielzahl von Eigenschaften, die sie zu hervorragenden Kandidaten für eine schädliche Software machen.
1. Vielzahl von Quellencodes
RFID-Tags verfügen von Natur aus über eine limitierte Komplexität. Dagegen enthält die Datenbank von RFID-Middleware Systemen über hunderttausend Quellencodezeilen. Wenn die Zahl der Software-Viren durchschnittlich zwischen sechs bis 16 pro 1.000 Codezeilen befällt, dann ist die RFID-Middleware extrem gefährdet. Kleinere Systeme haben wahrscheinlich weniger Codezeilen, sind aber bisher auch nur mangelhaft erprobt.
2. Allgemeine Protokolle und Anlagen
Der Ausbau einer bestehenden Internet-Infrastruktur, ist eine kostengünstige Art um eine RFID-Middleware zu erweitern. Die Anforderungen der RFID-Middleware in ein Internet-Protokoll aufzunehmen bringt allerdings auch eine Übernahme der Sicherheitslücken mit sich.
3. Back-End Datenbanken
Das Wesentliche von RFID ist die automatische Sammlung von Daten. Die gesammelten Informationen müssen gespeichert und abgefragt werden können, um die Anforderungen von größeren Applikationen zu erfüllen. Folglich sind Datenbanken der kritische Punkt der meisten RFID-Systeme. Eine Tatsache, die durch traditionelle Datenbank-Anbieter wie SAP und Oracle unterstrichen wird. Die schlechte Nachricht ist, dass Datenbanken sehr anfällig für Sicherheitsbrüche sind.
4. Hochwertige Daten
RFID-Systeme sind ein attraktives Ziel für Computer-Kriminelle. Die Daten der Tags sind finanzieller oder persönlicher Art und manchmal sogar wichtig für die nationale Sicherheit. So unter anderem bei den Daten eines digitalen Passes. Schadprogramme könnte folglich bei RFID mehr Unheil anrichten als ein normaler Computer-basierter Virus. Denn bei den Funk-Chips kann ein Virus nicht nur das Back-End IT-System schädigen, sondern er kann sich auch auf das wirkliche Leben auswirken.
5. Falsches Gefühl von Sicherheit
Die Mehrzahl der Hacker greifen einfache Ziele an. Dazu gehören RFID-Systeme. Sie sind verwundbar, weil niemand eine Attacke auf sie erwartet. Besonders ungesichert sind die Systeme die offline sind. Aus diesem Grund sollten die Entwickler von RFID-Middleware so schnell wie möglich reagieren und ihre Systeme sichern.
Die Forscher beschreiben in ihrer Studie unter anderem ein Angriffsszenario bei dem zum Beispiel ein Hacker einen RFID-markierten Artikel im Supermarkt kauft. Danach ersetzt er den darauf angebrachten Transponder mit RFID-Chip durch einen von ihm selbst programmierten. Die Ware mit der manipulierten Auszeichnung platziert er anschließend wieder im Ladenregal. Taucht der an der Scanner-Kasse wieder auf, kann dadurch die Supermarkt-Software, die eigentlich nur digitale Preisschilder über das RFID-Lesegerät auswerten muss, mit einem schädlichem Code infiziert werden.
Als weiteres Problem-Szenario schildern die Wissenschaftlicher eine Situation an einem Flughafen. Der Grund: Viele Flughäfen wollen in diesem Jahr die RFID- Technologie bei der Gepäckabfertigung einsetzen. Um das RFID-System zu beschädigen, könnte eine Person ein infiziertes Tag an einem Gepäckstück befestigen. Der Chip wird dann an einer Y-Abzweigung ausgelesen, um festzustellen, wo das Gepäck hingehört.
Laut der Studie kann bereits der Akt des Scannens zu einer Infektion der Gepäck-Datenbank des Flughafens führen. Alle weiteren RFID-Tags, die für andere Gepäckstücke ausgegeben werden, wären auf diesem Weg infiziert. Bei jedem weiteren Lesevorgang würde sich der Virus weiterverbreiten und innerhalb von einem Tag könnten so hunderte von Flughäfen infiziert sein.
Die Studie ist unter dem Titel "Is your Cat infected with a Computer Virus" erschienen. (CIO / haf)